Qué son realmente los Datos Personales bajo la nueva Ley 21.719
Muchos empresarios creen que «dato personal» es solo el Nombre y el RUT. Error. La nueva ley transforma el dato de un recurso comercial a un Derecho Humano.
Cuando preguntas a un gerente qué datos personales maneja su empresa, la respuesta suele ser rápida: «Solo tenemos nombres, correos y RUTs de clientes». Bajo la antigua normativa, esa respuesta podría haber sido aceptable.
Pero con la Ley 21.719, el universo de lo que se considera un dato personal se ha expandido radicalmente, y con ello, tus obligaciones legales. Para cumplir, primero debes entender que el «chip» mental debe cambiar. Antes, los datos se veían como un recurso libre, como el aire o el agua en tiempos antiguos. Hoy, la ley viene a proteger eso con dientes afilados.
1. El Cambio Cultural: De «Activo» a Derecho Constitucional
Lo primero que debes saber es que un dato personal ya no es «cualquier cosa» que puedas guardar en un Excel. Ahora está anclado en el núcleo de la Constitución (Art. 19 N° 4). ¿Qué significa esto para tu negocio?
Autodeterminación Informativa
El dato pertenece al titular (la persona), no a la empresa. El titular tiene el poder de controlar quién tiene su información, para qué la usa y cuándo debe dejar de usarla.
Dignidad Humana
Cuando manipulas un RUT o una huella, tocas un derecho fundamental. Si no respetas esto, no cometes una falta administrativa, estás vulnerando un derecho constitucional.
2. No es solo quién eres, es quién «podrías ser»
La ley define Dato Personal como cualquier información vinculada a una persona natural identificada o identificable. Aquí está la trampa para muchas empresas.
Ya no se trata solo de tener el nombre. Si tienes un dato que por sí solo no dice nada (ej: una dirección IP, datos de geolocalización o un perfil de compra), pero que al cruzarlo con otra información te permite saber quién es esa persona, eso ES un dato personal.
💡 Para tu negocio digital: Si usas cookies para rastrear comportamiento o identificadores de dispositivos móviles (IDFA/AAID), estás tratando datos personales, aunque técnicamente no tengas el «nombre» del usuario en tu base de datos.
3. Los «Datos Sensibles»: Un Campo Minado
La ley ha ampliado la categoría de Datos Sensibles. Estos requieren un cuidado extremo (ciberseguridad reforzada y consentimiento expreso). Tratarlos sin las bases legales correctas es una infracción gravísima. La nueva lista incluye:
Datos Biométricos: Huella digital, reconocimiento facial, iris o voz. Ojo: Si usas huelleros para asistencia o cámaras inteligentes, estás tratando datos sensibles.
Situación Socioeconómica: Datos que revelen el estado económico real. Crítico para empresas de riesgo comercial o marketing segmentado.
Salud y Perfil Biológico: Información médica, genética o psíquica (incluyendo licencias médicas en RRHH).
Zonas Grises reguladas: La ley también pone lupa sobre la Geolocalización (debes informar para qué rastreas) y los datos de Niños, Niñas y Adolescentes, cuyo estándar de protección es superior.
4. El Fin de las Fuentes de «Acceso Público»
Esta es quizás la modificación más disruptiva para los modelos de negocios basados en marketing y ventas B2B. Bajo la antigua ley, se creía que si un dato estaba en internet (Google, LinkedIn, Diario Oficial), era de «libre uso». Eso se acabó.
🚫Prohibición de facto al «Scraping»
Que el dato sea público no te da derecho a tomarlo y guardarlo. Las empresas que «raspan» webs para armar bases de datos quedan en ilegalidad si no tienen un interés legítimo probado.
📢Nueva Regla de Transparencia
Aunque el dato sea público, ahora debes informar al titular: «Señor usuario, obtuve sus datos de tal fuente pública y los estoy usando para X fin». Ya no se puede recopilar a escondidas.
5. ¿Por qué importa para tu bolsillo?
La ley se basa en el Principio de Responsabilidad. Las consecuencias financieras son reales y severas:
Uso de fuentes públicas sin base legal: Infracción grave (hasta 10.000 UTM).
Tratamiento indebido de datos sensibles (huellas/salud): Infracción gravísima (hasta 20.000 UTM).
La Regla de Oro
«Antes de recolectar un dato, pregúntate: ¿Realmente necesito saber esto? Si la respuesta es no, aplica el principio de minimización y no lo pidas. Menos datos, menos riesgo.»
Deja una respuesta